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<§§) Verfahren zum Schutz von speicherprograrnrnierten Steuerungen voreinem Oberschreiben 



► Es wird ein Verfahren zum Schutz von speicherprogram- 
mierten Steuerungen, insbesondere in Kraftfahrzeugen, vor- 
geschlagen, das einen Softwareschutz fur die Prograrnmie- 
rung anbietet. Die Programmierroutine fur Programmierung 
durch ein extemes Gerat wird so in Abschnitte aufgeteilt, 
daS zwischen den einzelnen Abschnitten Abfragen nach der 
Program mierfreigabe erfotgen konnen. 
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Stand der Technik 

Die Erfindung gent aus von einem Verfahren zum 
Schutz von speicherprogrammierten Steuerungen vor 
einem Oberschreiben nach der Gattung des Hauptan- 
spruchs. 

Es sind bereits Verfahren zum Schutz von speicher- 
programmierten Steuerungen, die vorzugsweise in 
Kraftfahrzeugen eingesetzt werden, bekannt In der 
DE 43 44 866 wird ein Steuergerat, insbesondere ein 
Kxaftfahrzeugsteuergerat, uber ein externes Program- 
miergerat programmiert, wobei zur Verhinderung einer 
ungewoliten Programmierung eine Abfrage des Steuer- 
gerates an das externe Programmiergerat erfolgen muB. 
Die Abfrage erfolgt durch ein Mittel, das das Signal fur 
die Freigabe der Programmierung dann erkennen kann, 
wenn das externe Programmiergerat mit seiner seriellen 
Ubertragungsleitung an das Steuergerat angeschlossen 
ist Die Programmierung des Steuergerates erfolgt nach 
dieser Sicherheitsabfrage in den programmierbaren, 
nicht fluchtigen Speicher des Steuergerates uber die 
serielle Schnittstelle. Dieses bekannte Verfahren stellt 
einen reinen Hardware-Programmierschutz dar. Der 
reine Hardware-Schutz der programmierbaren Spei- 
cher setzt den Einsatz verschiedener elektronischer 
Bauteile im Steuergerat voraus, die das hardwaremaBi- 
ge AnschlieBen der Datenubertragungsleitung erken- 30 
nen konnen. Dies bedeutet einen baulichen Mehrauf- 
wand fur das Steuergerat 

Es sind auch bereits einfache Softwaresicherungen 
bekannt, die im aUgemeinen vom Programmiergerat, 
dem Tester, aufgerufen werden. Bei reinen Software- 
Absicherungen besteht immer die Gefahr, daB durch ein 
Verspringen in der Programmroutine die Freigabe fur 
die Programmierung falschlicherweise erteilt wird. 



weitere Programmierung kann nur nach Oberprufung 
mehrerer Freigabeflags erfolgen. 

Eine weitere vorteilhafte Ausbildung stelit eine Ab- 
speicherung der Freigabe in Form von bestimmten 
5 RAM-Adresseninhalten dar, wobei die Programmier- 
routine die Adressen auf ihren Inhalt uberpruft Weiter- 
hin ist es moglich, die Freigabe als eine Kombination 
von Registern und vom Programmiergerat iibertrage- 
nen Daten zu erzeugen. 
10 Weiterhin ist es vorteilhaft, fur die Freigabe der Pro- 
grammierroutine durch das externe Programmiergerat 
Signale zu senden, die zu einem Setzen von Flags in der 
Programmierroutine fuhren. 
Diese Freigabe kann vom externen Programmierge- 
15 rat als einmaiige Obergabe der Freigabesignaie reaii- 
siert werden, so daB wahrend der Programmierung auf 
die Freigaben in einem Speicher zugegriff en wird, 

Es ist aUerdings auch eine Variante von Vorteii, die 
die Freigabe zwischen den Programmabschnitten vom 
20 Programmiergerat abfragt 

Zeichnung 

Ein Ausfuhrungsbeispiel der Erfindung ist in der 
25 Zeichnung dargestellt und in der nachfolgenden Be- 
schreibung naher erlautert Es zeigt Fig, 1 einen Pro- 
grammiervorgang nach dem erfindungsgemaBen Ver- 
fahren. 



Beschreibung des AusfOhrungsbeispiels 



Vorteile der Erfindung 

Das erfindungsgemaBe Verfahren mit den kennzeich- 
nenden Merkmalen des Hauptanspruchs hat dem ge- 
genQber den Vorteii, daB keine ungewollte Program- 
mierung des Programmspeichers erfolgen kann, da die 
Programmierroutine zusatzliche Sicherheitsabfragen 
enthalt die vor der Abarbeitung jedes Programmierab- 
schnitts eine Freigabe priifen. Besonders vorteilhaft ist 
es, die Programmierroutine, die im Steuergerat abgelegt 
ist, in Form von Modulen zu strukturieren. Dadurch ist 
keine unbeabsichtigte Loschung und Speicherung neuer 
Daten in den programmierbaren Speicher mehr mog- 
h*ch, da das Programm auch nicht durch einen unbeab- 
sichtigten Einsprung an eine beliebige Position aktiviert 
werden kann. 

Durch die in den Unteranspruchen aufgefuhrten 
MaBnahmen sind vorteilhafte Weiterbildungen und 
Verbesserungen des im Hauptanspruch angegebenen 
Verfahrens moglich. 

Es ist auch von Vorteii, die Programmierroutine aus 
Befehlssequenzen zusammenzusetzen. Bei der Abarbei- 
tung der Befehlssequenz wird ebenfalls nach jedem Be- 
fehl die Freigabe uberpruft. 

Dabei ist es von Vorteii, Freigabeflags in einem 
RAM-Speicher abzulegen. Vorteilhafterweise wird die 
Freigabe nicht nur durch ein einmaliges Abspeichern, 
sondern durch ein mehrmaliges Abspeichern der Frei- 
gabeflags im RAM redundant vorgenommen, und die 



Ein Steuergerat, das nach dem erfindungsgemaBen 
Verfahren vor einem Oberschreiben seines Programm- 
speichers durch Softwareschutz geschutzt wird, kann 
35 ein Brems-, Motor- oder Getriebesteuergerat sein. Obli- 
cherweise ist ein derartiges Steuergerat uber einen Dia- 
gnoseanschluB an ein externes Programmiergerat an- 
schlieBbar. Die Steuergerate werden in der Produktion 
in das Kraf tfahrzeug eingebaut, wobei das Programmie- 
40 ren der Steuergerate am Bandende oder in der Werk- 
statt erfolgt. Das Steuergerat enthalt einen Mikropro- 
zessor, auf dem integriert oder separat ein nicht fluchti- 
ger, programmierbarer Speicher vorgesehen ist. Der 
nicht fluchtige Speicher ist insbesondere als Flash- 
45 EPROM ausgefuhrt Zur Programmierung des nicht 
fluchtigen Speichers muB ein Freigabesignal an den 
Speicher angeiegt werden. Die Programmierroutine ist 
ein internes Steuergeratprogramm, das die Program- 
mierung des nicht fluchtigen Speichers ermoglicht Die- 
50 se Prograinmierroutine ist im ROM oder RAM des Pro- 
zessors des Steuergerats abgelegt Um die Programmie- 
rung auszulosen, wird von dem externen Programmier- 
gerat, dem Tester, ein Signal an das Steuergerat gege- 
ben. Das Steuergerat erkennt das Signal und die Pro- 
55 grammierroutine setzt das Freigabeflag. Dieses Freiga- 
beflag wird im RAM abgelegt 

In einem ersten Ausfuhrungsbeispiel wird davon aus- 
gegangen, daB die Programmierung des nicht fluchtigen 
Speichers nicht direkt aus dem Programmspeicher des 
60 Prozessors heraus durchgefuhrt werden kann, in dem 
die iVogrammierroutine abgelegt ist Die Programmier- 
routine muB also zunachst in den ausfuhrbaren Speicher 
geladen werden, z. B. aus dem Flash in das X-RAM. Die 
fVogrammierroutine wird dazu in mindestens zwei Mo- 
65 dule zerlegt die jede fur sich keine Programmierung des 
nichtfluchtigen Speichers auslosen kann. Nachdem das 
erste Modul geladen wurde, wird erfindungsgemaB 
noch eirunal die Programmierfreigabe abgefragt, bevor 
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das nachste Modulgeladen wird. 

In einem weiteren Beispiel wird davon ausgegangen, 
daB eine bestimmte Befehlssequenz geschrieben wer- 
den rnuB, urn den Speicher zu programmieren. Erfin- 
dungsgemaB werden nun innerhalb der Programmierse- 
quenz Abfragen eingerugt, die uberprufen, ob eine Pro- 
grammierfreigabe vorliegt Fails nicht wird die Pro 
grammierung abgebrochen. Dadurch kann ein unge- 
wollter Einsprung an beiiebiger Stelle des Programms 
in keinem Fall eine Programmierung des Speichers zur 
Folge haben. Die Programmierfreigabe wird vorn Te- 
ster ausgeldst und vom Prozessor des Steuergerates 
erkannt Das Prograrnm erteilt die Freigabe und setzt 
das Freigabeflag, das im RAM abgelegt wird. Es ist 
daher notwendig, ZusatzmaBnahmen zu treffen, daB 
diese Programmierfreigabe nicht ungewollt z. B. durch 
eine Ablaufstorung im Prograrnm, im RAM eingetragen 
wird Dies hatte zur Folge, daB eine ungewollte Pro- 
grammierung trotz der Zwischenprufung durchgefuhrt 
werden konnte. Als ZusatzmaBnahrne finden folgende 
Schritte Anwendung: 

1. Die Programmierfreigabe wird mehrfach redun- 
dant im RAM abgelegt. Dadurch wird verhindert 
daB eine Freigabe durch ein ungewolltes einfaches 
Beschreiben des RAM mit einem Freigabeflag er- 
folgen kann. 

2. Die Abspeicherung der Programmierfreigabe er- 
folgt nicht expiizit in einem ProgrammoduL Die 
Programmierfreigabe wird vielmehr implizit durch 
eine Prufung des Inhalts bestimmter RAM-Adres- 
sen erkannt, wobei die Adressen von auBerhalb be- 
schrieben werden, z. B. durch den Tester, d h. an 
keiner Stelle durch das Prograrnm selbst 

3. Adressen und/oder InhaJte, die Bestandteile der 
Programmiersequenz sind werden selbst erst 
durch Kombination von Adressen von vom Tester 
ubertragenen Daten erzeugt 

In Fig. 1 wird in einem Ausfuhrungsbeispiel ein Pro- 
grammierprozeB dargestellt Das Ausfuhrungsbeispiel 
zeigt den Programmiervorgang von Byte 1 bis n, die 
vom Tester in den nicht fluchtigen Speicher program- 
miert werden sollen. Der Speicher ist so konzipiert, daB 
er ein Byte # i genau dann programmiert, wenn zu ihm 
Freigabebyte #1, Freigabebyte #2, Adresse Byte #i 
und Inhalt von Byte # i korrekt und in dieser Reihenfoi- 
ge ubertragen werden. Als Beginn dieses Vorgangs wird 
vom Tester die Anforderung zur Programmierung an 
das Steuergerat gesandt AnschlieBend sendet der Te- 
ster PF1 bis PF3 im Programmfreigabeblock 8 an das 
Steuergerat, in dem sie als Freigabeflags PF1 bis PF3 im 
RAM abgelegt werden. Daran anschlieBend werden die 
zu programmierenden Byte #i bis Byte #n im Pro- 
grammblock 9 vom Tester ubertragen und im RAM 
zwischengespeichert Zur Programmierung eines Byte 
# i wird zunachst nach dem erfindungsgemaBen Verfah- 
ren die Freigabe Qberpruft Die Programmierroutine 
pruft, ob die Freigabeflags PF1 bis PF3 t, 2, 3 korrekt 
sind Ist dies der Fall wird das Freigabebyte # 1 zum 
EPROM ubertragen 4. AnschlieBend wird eine nochma- 
lige Abfrage 1', 2', 3' nach den Prograrnmfreigabeflags 
PF1 bis PF3 durchgefuhrt. Bei erfolgreicher Prufung 
wird das zweite Freigabebyte #2 ubertragen 5. An- 
schlieBend werden Adresse und Inhalt von Byte #i 
ubertragen. Dies hat die Programmierung von Byte # i 
zur Folge 7. Von diesem Punkt aus geht die Program- 
mierroutine wieder zum Ausgangspunkt, urn die nach- 
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sten Informationen von Byte #i + 1 zu ubertragen. 
Jedesmal erfolgt zuvor die Prufung der Freigabeflags 
und das anschlieBende Schreiben der Freigabebytes # 1 
bzw *?2. 

Patentanspriiche 

1. Verfahren zum Schutz von speicherprogram- 
mierbaren Steuerungen, insbesondere im Kraft- 
fahrzeug, vor einem ungewollten Oberschreiben 
des nichtfluchtigen, programmierbaren Speichers 
des Steuergerates, wobei das Steuergerat eine Pro- 
grammierroutine, die die Ausfuhrung des Ober- 
schreibevorgangs steuert, in einem Speicher ent- 
halt, dadurch gekennzeichnet, daB die Program- 
mierroutine in einzelne Abschnitte unterteilt ist, die 
jeweils erst nach einer erfolgten Cberprufung der 
Programmierfreigabe abgearbeitet werden. 
Z Verfahren zum Schutz von speicherprogram- 
mierbaren Steuerungen nach Anspruch 1, dadurch 
gekennzeichnet, daB die Programmierroutine aus 
einer Befehlssequenz besteht, wobei nach jedem 
Befehl Programmierfreigabe-Abfrage und Freiga- 
be erfolgen. 

3. Verfahren zum Schutz von speicherprogram- 
mierbaren Steuerungen nach Anspruch 1 oder 2, 
dadurch gekennzeichnet, daB die Freigabe n-fach 
im RAM abgelegt wird und eine Programmierung 
nach der Oberprufung von n Freigaben im Spei- 
cher mdglich ist 

4. Verfahren zum Schutz von speicherprogram- 
mierbaren Steuerungen nach Anspruch 1 bis 3, da- 
durch gekennzeichnet, daB die Freigabe durch das 
Uberprufen bestimmter Adressen im RAM erfolgt. 

5. Verfahren zum Schutz von speicherprogram- 
mierbaren Steuerungen nach Anspruch 1 bis 4, da- 
durch gekennzeichnet, daB die Freigabe durch vom 
Tester ubertragene Daten und/oder Adressen er- 
zeugt wird. 

6. Verfahren zum Schutz von speicherprogram- 
mierbaren Steuerungen nach Anspruch 1 bis 5, da- 
durch gekennzeichnet, daB die Programmierfreiga- 
be-Abfrage an ein externes Programmiergerat er- 
folgt, das jeweils die Freigabe nach einem Ab- 
schnitt der Programmierroutine erteilt 

7. Verfahren zum Schutz von speicherprogram- 
mierbaren Steuerungen nach Anspruch 1 bis 6, da- 
durch gekennzeichnet, daB das externe Program- 
miergerat die Freigabe durch einen Freigabeblock 
erteilt 
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